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摘 要 : 基于 区 块 链 的 投票 系统 可 用 于 信用 评估 、 身 份 验证 等 场景 。 相 应 的 电子 投票 协议 的 底层 密码 学 技术 主要 基 
于 讶 签名 、 环 签名 、 代 理 签名 进行 实现 ， 然 而 传统 的 上 述 签 名 算法 在 应 用 到 区 块 链 时 可 能 会 出 现 依赖 中 心 节点 、 效 
率 低下 等 问题 。 基 于 中 国 孙 子 定理 提出 了 一 种 适用 于 区 块 链 投票 场景 的 门限 签名 方案 ， 通 过 成 员 之 间 协 作 ， 生 成 份 
额 签 名 并 合成 签名 。 签 名 方法 支持 节点 加 入 和 退出 ， 签 名 过 程 无 须 中 心 节 点 参与 ， 提 升 了 方案 的 可 用 性 ; 加 入 了 对 
通信 数据 的 验证 功能 ， 同 时 在 通信 过 程 中 不 暴露 密 钥 信息 ， 保 证 了 数据 在 区 块 链 不 安全 通信 信道 传输 时 的 安全 性 
算法 优化 了 通 人 不 仅 节 省 了 网 络 带宽 资源 ， 同 时 提升 了 系统 吞吐 率 。 安 全 性 分 析 表 明 ， 攻 击 难 度 等 价 于 求解 
离散 对 数 问 题 ,， 能够 有 效 抵抗 冒名 攻击 。 计 算 复 杂 度 分 析 表 明 ， 算法 计算 量 较 低 ， 能够 有 效 适 配 到 区 块 链 应 用 场景 。 
奖 信 词 ， 交 深 他 ;可 信守 间作 便 各 名 市 国 各 于 这 于 
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Signature scheme applying on blockchain voting scene based on Chinese remainder theorem 
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Abstract: The voting schemes based on blockchain are applicable for credit evaluation and identity verification. The 
underlying cryptographic schemes of the corresponding electronic voting protocols mainly include blind signature, ring 
signature and proxy signature. However, traditional aforementioned algorithms may arise dependence of dealers and 
inefficiency when applied to blockchain. Based on the Chinese Remainder Theorem, the paper proposed a threshold 
signature scheme for the voting scenes based on blockchain. Through cooperation, the share signatures synthesized the final 
signature. The proposed scheme supported the nodes join/leave behaviors. It also excluded the dealers from participation to 
improve the availability. The new scheme was able to verify the data, and did not expose any key information during data 
transmission. The proposed algorithm with high efficiency reduced the network bandwidth requirements to increase 
throughput. Security analysis shows that the new Scheme for solving the discrete logarithm can resist impersonation attacks. 
Computational complexity analysis shows that the proposed algorithm with low computational cost can fit into the 
blockchain scenario effectively. 
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0 ”引言 方案 ， 通 过 协调 各 投票 参与 方 ， 保 证 投票 过 程 的 公正 性 和 了 
本 确 性 ， 并 人 允许 新 成 员 加 入 ， 同 时 允许 撤销 签名 。 相 对 于 其 
区 块 链 是 一 种 记录 交易 历史 的 分 布 式 数据 库 技术 ， 有 具有 投票 系统 ， 基 于 区 块 链 的 投票 应 用 存在 不 可 窜改 、 不 可 抵赖 
去 中 心 化 、 匿 名 化 、 去 信任 化 等 特征 ， 解 决 了 不 同 节点 间 的 ”的 特性 ， 而 且 其 投票 过 程 完 全 依据 规约 自动 化 执行 ， 无 顷 人 
数据 可 信和 问题 ， 在 电子 货币 、 金 融 投资 、 物 联网 、 医 疗 、 能 。” 工 参与 ， 其 可 信 机 制 具备 天 然 中 立 性 和 安全 性 ， 具 有 极 高 的 
源 互 联网 等 领域 得 到 迅速 发 展 。 区 块 链 主要 分 为 三 类 ， 即 公 ”应 用 前 景 。 
有 链 、 联 盟 链 和 私有 链 ， 目 前 出 现 了 联盟 链 和 私有 链 上 基于 当前 主流 的 门限 签名 方案 ， 按 照 密 钥 分 发 方式 不 同 ， 主 
区 块 链 的 电子 投票 系统 ， 用 于 信用 评估 、 决 策 制定 等 场景 。 要 分 为 有 可 信 中 心 的 门限 签名 和 无 可 信 中 心 的 门限 签名 方 
电子 投票 系统 所 采用 的 投票 协议 主要 用 于 解决 互联 网 环境 下 案 。 有 可 信 中 心 的 门限 签名 方案 存在 管理 节点 ， 并 承担 大 部 
投票 流程 中 的 安全 性 问题 ， 即 满足 投票 的 合法 性 、 匿 名 性 、 分 可 信 认 证 任务 ， 然 而 它 也 是 整个 算法 的 性 能 瓶颈 。 对 于 无 
计 票 完整 性 、 不 可 伪造 性 、 不 可 重复 性 、 不 可 帘 改 性 等 要 求 。 ”可 信 中 心 的 门限 签名 方案 ， 各 个 节点 高 度 自治 ， 其 代价 就 是 
电子 投票 协议 的 底层 密码 学 技术 主要 包含 讶 签名 、 环 签名 、 增加 了 网 络 的 总 体 计算 量 。 在 区 块 链 中 基于 签名 算法 实现 投 
代理 签名 这 3 种 ， 可 用 于 审核 身份 、 确 保 投票 内 容 可 信 等 场 票 协议 时 ， 基 于 可 信 中 心 的 群 签名 方案 会 面临 可 信 中 心 节点 
景山 。 本 文 致力 于 研究 一 种 区 块 链 在 线 投 票 场景 下 的 环 签名 ”选择 以 及 中 心 节 点 存储 数据 泄露 问题 ; 区 块 链 作为 一 种 去 中 
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签名 ， 其 他 人 可 以 对 其 进行 验证 ， 且 签名 过 程 仅 对 当前 验证 


种 去 中 心 化 的 算法 结构 ， 此 外 ， 当 区 块 链 网 络 中 节点 不 可 用 
时 ， 需 要 签名 算法 能 够 撤销 用 户 签名 。 如 何 设计 这 样 一 种 安 
全 的 、 去 中 心 化 的 、 可 撤销 签名 的 门限 签名 方案 是 本 文 重点 
研究 的 问题 。 
于 区 块 链 网 络 的 异 构 性 ， 为 了 提高 服务 效率 ， 基 于 区 
块 链 的 门限 签名 方案 ， 其 计算 资源 需求 量 要 小 ， 同时 能 够 提 
供 复杂 场景 下 高 安全 性 服务 。 在 发 起 投票 时 ， 需 要 尽量 减少 
通信 次 数 ， 减 少 带宽 需求 量 。 当 投票 节点 出 现 故 障 或 新 成 员 
加 入 时 ， 需 要 通过 较 少 的 计算 量 ， 高 效 地 完成 相关 操作 。 如 
何 设计 这 样 一 种 计算 资源 和 通信 资源 需求 量 较 少 的 签名 方案 
是 适 配 到 区 块 链 应 用 场景 的 重要 前 提 。 

2004 年 ，Tzer-Shyong 等 人 将 椭圆 曲线 加 密 所 需 较 短 的 
密 钥 特征 与 (6.n) 门限 方法 集成 ， 提 出 了 一 种 新 的 签名 方案 ， 
但 没有 给 出 身份 追踪 和 撤销 操作 中。 文献 [3] 对 上 述 方案 的 密 
钥 生 成 方式 进行 了 改进 ， 使 得 合谋 攻击 困难 度 等 价 于 椭 区 
线 离 散 对 数 困难 度 。 文 献 [4] 提 出 的 门限 签名 方案 ,能 够 有 效 
抵御 1 个 成 员 合谋 伪造 签名 的 攻击 。 上 述 方法 是 基于 Shamir 


bn 


实体 有 效 ， 步 又 如 下 所 示 Dsl: 
G(p) 一 在 并 ->sk,ph) ,其 中 下 为 私 钥 , 而 的 为 公 钥 。 
SG 四 一 :sysig ,其 中 必 为 明文 消息 , sig 为 生成 的 签名 


让 is 
‘ 心 » 
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uw 


Verify(pk,m, sig) — 和 A >{True,False} ,根据 公 钥 、 
信息 验证 数据 是 否 完整 。 
前 常用 的 签名 算法 主要 有 椭 区 
分 盲 签名 算法 。 椭 圆 


明文 和 签名 


线 数字 签名 算法 和 部 
线 数字 签名 算法 主要 是 基于 椭圆 曲线 


lolol sd 寻 此 其 安全 性 主要 依赖 于 椭圆 曲线 解 
题 难度 。 部 分 盲 签名 算法 由 Abe 等 人 69 在 1996 年 提出 ， 算 
法 的 主要 思想 是 除了 事先 与 被 签名 者 协商 好 的 共识 消息 外 ， 
签名 者 无 法 获得 所 签 消息 的 内 容 ， 从 而 实现 保护 被 签名 者 隐 
私 的 功能 。 


1.2 秘密 共享 协议 

秘密 共享 概念 最 早 由 Shamir20 和 BlackeyP20 提 出 ， 该 思 
想 是 将 秘密 以 适当 方法 拆 分 为 N 份 , 并 将 每 份 秘密 发 送 给 不 
同 参与 者 进行 管理 ， 在 恢复 秘密 时 ， 需 要 参与 方 个 数 至 少 要 


秘密 共享 技术 实现 的 门限 签名 方案 ， 后 面 也 出 现 了 其 他 一 些 
秘密 共享 技术 。 

文献 [5] 基 于 双 线 性 映射 和 秘密 共享 思想 提出 了 一 种 基 
于 身份 秘密 的 门限 签名 方案 , 采用 基于 身份 的 t-out-of-n 秘密 
共享 算法 提升 了 算法 的 执行 效率 。 文 献 [6] 提 出 了 一 种 离散 对 
数 难 度 的 门限 签名 方案 ， 能 够 有 效 抵抗 针对 秘密 共享 技术 的 


等 于 某 一 个 门限 值 才 能 恢复 出 消息 内 容 。 经 典 的 秘密 共享 算 
法 有 Shamir 算法 和 基于 中 国 孙 子 定理 的 Asmuth-Bloom 算 
法 
1.2.1 Shamir 算法 

Shamir (k,n) 秘密 共享 算法 将 秘密 5 分 为 n 个 子 秘密 ， 任 
意 k 个 子 秘密 都 可 以 恢复 出 5 ， 而 任意 上 -1 个 子 秘密 无 法 恢 


攻击 手段 ,文献 [7] 的 门限 群 签名 方案 ， 较 短 的 密 钥 长 度 
较 低 的 计算 负载 和 带宽 需求 。 文 献 [8，9] 提 出 了 基于 ECDSA 
门限 签名 系统 ，s 个 参与 者 重 构 密 钥 ， 但 却 需 要 2s+1 个 参与 
者 才能 签名 ,Goldfeder 等 人 (9 提出 利用 门限 签名 技术 实现 比 
特 币 密 钥 的 多 方 控制 功能 ， 利 用 门限 密码 学 技术 实现 密 
可 信 管理 。 文 献 [11] 基 于 可 视 密码 学 提出 了 一 种 秘密 共享 
能 够 有 效 抵御 针对 秘密 的 暴力 破解 。 

近 些 年 来 ， 出 现 了 基于 中 国 孙子 定理 的 秘密 分 享 方案 
02! 和 ,其 中 ，Asmuth 和 Bloom 提出 的 Asmuth-Bloom 门限 
秘密 共享 方案 051， 与 基于 Shamir 秘密 共享 技术 相 比 ， 计 算 
量 较 小 ， 但 在 不 安全 的 通信 信道 中 传输 数据 的 时 候 ， 该 方案 
不 能 保证 数据 的 安全 性 。 文 献 [16] 提 出 了 一 种 将 EIGamal 机 
制 与 Asmuth-Bloom 门限 秘密 共享 相 结 合 的 方案 ， 能 够 防止 
秘密 份额 在 传播 过 程 中 被 窜改 。 文 献 [17] 的 方案 能 够 有 效 地 
空 制 计算 过 程 中 的 数据 长 度 , 具有 良好 的 匿名 性 和 防伪 造 性 ， 
然而 必须 依赖 可 信 中 心 进行 密 钥 分 发 。 
针对 现 有 研究 问题 ， 本 文 基于 中 国 孙 子 定理 提出 了 一 种 
区 块 链 上 的 门限 签名 方案 ， 攻 击 难度 等 价 于 求解 离散 对 数 问 
题 。 为 了 更 好 地 适 配 区 块 链 网 络 ， 满 足 其 去 中 心 化 、 通 信 信 
道 异 构 化 的 特征 要 求 ， 本 文 提 出 的 签名 方法 支持 节点 加 入 和 
退出 ， 签 名 过 程 无 须 中 心 节点 参与 。 此 外 本 方案 加 入 了 对 通 
信 数 据 验 证 功能 ， 同 时 在 通信 过 程 中 不 暴露 密 钥 信息 ， 能 够 


有 效 抵抗 冒名 攻击 。 针 对 区 块 链 应 用 场景 ， 本 文 签名 算法 优 
化 了 通信 次 数 ， 不 仅 节省 了 网 络 通信 资源 ， 同 时 提升 了 系统 
吞吐 率 。 与 现 有 门限 签名 算法 相 比 ， 本 方案 在 签名 生成 和 签 


给 证 两 个 方面 ， 计 算 复杂 度 较 低 。 
1 ”背景 知识 
1.1 数字 签名 

数字 签名 是 利用 密码 学 技术 实现 的 用 于 确认 数据 单元 来 
源 或 数据 完整 性 的 密码 保护 技术 ， 主 要 用 于 非 对 称 密 钥 加 密 
与 数字 摘要 等 场景 。 典 型 的 数字 签名 过 程 ， 首 先 由 本 人 进行 


复出 5 。 步 又 分 为 以 下 三 步 : 

a) 初 始 化 。 假 设 n 个 参与 者 (B…P,)， 门 限 值 为 <，? 为 
素数 ， 可 信 中 心 编码 范围 为 有 限 域 GFO) ， 每 个 参与 者 编号 为 
XxX EGF(p)(i =1,2,...n) 。 

b) 加 密 。 可 信 中 心 选择 k-l1 次 多 项 式 
f=a+taxtax +...+aux! ， 其 中 aeGFCP)G=1,2,...,k-D)， 
a=5S ， 将 每 个 eGF(p)G=12,..n) 带 入 上 述 等 式 ， 分 别 得 到 
(3% 了 (4),…,G&,f06)) ， 并 将 这 些 信息 对 发 送 给 各 参与 者 。 

0c) 解密 。n 个 参与 者 任 选 k 对 消息 ， 通 过 拉 格 朗 日 插值 
公式 重 构 出 多 项 式 /foo ， 并 求解 出 f(0)=4=5 。 

1.2.2 Asmuth-Bloom 算法 
初始化。 对 于 一 个 构成 的 集合 

2={2.2…2J， 门 限 值 是 :， 秘 密 是 y* ， 选 取 一 个 大 素数 

pe a 

(a) di,d,…d, 严格 单调 递增 ; 

(b) {(di,d))=1|iz#}; 

(c) {(di,p)=1|i=1,2,...,n}; 


击 1-] 
(qd) [la>pIla ，。 
在 i=l 


可 知 D/P 大 于 任意 1-1 个 


b) 产 生 秘密 份额 令 D=] [a ， 
7 


d; 之 积 ， 随机 选择 一 个 整数 +， 中 rel0 字 一 ， 计算 
即 为 


s'=s+1p ， 可 知 s'e[0,D-] ， 对 秘密 进行 分 割 ， 
s,=s'modd,， 其 中 i=1,2,...,n 。 

co) 秘密 恢复 。 任 何 1 个 成 员 可 以 交换 各 自 的 秘密 份额 来 恢 
复出 秘密 *, 这 里 假设 参与 者 提交 的 秘密 份额 为 5,5,…s,， 进 
而 构建 出 同 余 方程 组 : 


5s'= $s, modd, 


5'= s, modd, 


5s'=s, modd, 
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录用 定稿 王 利 朋 ， 等 : 


根据 中 国 孙 子 定理 可 知 , 该 方程 组 在 [0,4.4…d,] 中 有 了 唯一 


解 ， 且 其 


解 为 Ry Pb modD,， 其 中 已 满足 : 
2 =1l(modd,) ,i=1,2,..1 。 

从 上 式 可 得 到 秘密 s=s-p。 

2 ”本 文 方案 


2.1 区 块 链 门限 签名 系统 架构 
本 文 基 于 中 国 孙子 定理 提 
(6,n) 门限 签名 方案 ， 


出 了 一 种 区 块 链 上 无 中 心 的 
区 块 链 4,n) 门限 签名 算法 参与 方 主 


要 包 


括 了 三 个 角色 ,分别 是 区 块 链 节 点 (8)、 签 名 验证 者 ( SV ) 和 
签名 合成 者 (SC )。 
2. 秘密 分 割 > ”秘密 份额 
三 和 6. 成 员 加 入 
| 节点 j 7 成 员 折 多 六 区 块 链 节点 i | 合成 检验 信息 校 验 信息 
二 SS 
1 .初始 化 
更 新 vy le 
节点 私 钥 | 节点 公 钥 | 组 密 钥 | 组 公 钥 3. 生成 部 分 签名 
(从 4 内 名 验证 者 )a-5 si 签名 合成 者 ) j<4. 签名 合成 一 部 分 签名 + 


图 1 


又 块 链 门 限 签名 方案 架构 图 


Architecture of the proposed scheme 


Fig 1 


如 图 
秘密 分 割 、 生 成 部 分 签名 、 签 名 合成 、 签 名 验证 、 
和 成 员 撤销 等 七 个 步 又， 具体 内 容 如 下 。 


1 所 示 ， 区 块 链 (4,n) 门限 签名 系统 包括 了 初始 化 、 
成 员 加 入 


a) 生 成 签名 算法 所 需 的 公共 参 


> 数 ， 同 时 各 个 节点 生成 


己 的 私 钥 信息 和 公共 信息 ， 
盲 息 。 

b) 基 于 中 国 孙 子 定理 对 节点 秘密 信息 进行 切割 ， 
的 秘密 份额 广播 给 其 他 节点 ， 


向 网 络 中 其 他 节点 ) 


播 其 公共 


分 割 后 
以 供 其 他 节点 生成 部 分 签名 。 


0) 各 个 节点 对 接收 到 的 秘密 份额 根据 中 国 孙子 定 


求解 


秘密 信息 ， 结 合 其 密 钥 生成 部 分 签名 ， 并 将 其 ) 
成 者 。 


播 给 签名 合 


签名 合成 者 对 接收 到 部 分 签名 进行 合 


份 部 分 签名 即 可 合成 最 终 签 名 ， 并 将 最 


成 ， 这 里 只 需要 + 
终 签 名 发 送 给 签名 验 


证 者 进行 验证 。 


体 在 区 块 链 应 用 中 ， 这 里 的 每 个 节点 均 可 


以 作为 签名 合成 者 ， 也 可 以 作为 签名 验证 者 。 

dd) 签名 验证 者 对 合成 的 签名 信息 进行 验证 , 验证 通过 后 ， 
即 可 向 用 户 反 馈 签 名 结果 。 

e) 新 成 员 加 入 时 ， 区 块 链 中 各 个 节点 均 可 以 收 到 相关 消 
息 ， 进 而 发 起 成 员 加 入 流程 。 

f) 当 菜 一 节点 离开 区 块 链 网 络 时 ， 区 块 链 应 用 实现 保证 
了 各 个 节点 均 可 以 收 到 该 节点 退出 信息 ， 进 而 发 起 签名 撤销 


流程 。 


需要 说 明 的 是 ， 绝 大 部 分 区 块 链 应 用 基于 异 构 网 络 进行 


构建 ， 而 且 缺 少 一 个 可 信 


签名 方案 的 鲁 棒 性 和 安全 性 要 求 较 高 ， 需 要 其 满足 区 块 链 的 
去 中 心 化 、 通 信 信 道 异 构 化 的 特征 要 求 。 为 了 更 好 地 适 配 区 


块 链 应 场景 ， 也 需要 签名 算法 支持 节点 加 入 和 退出 ， 
升 方 案 的 可 用 性 。 本 方案 的 签名 算法 外 


中 心 对 资源 进行 优化 调度 ， 因 此 对 


以 提 


E 够 满足 上 述 要 求 ， 且 


与 基于 Shamir 秘密 分 享 协议 相 比 ， 本 方案 的 计算 效率 较 高 。 


通信 数 ] 


由 于 绝 大 部 分 区 块 链 应 用 是 基于 不 安全 的 通信 信道 ， 可 能 会 
出 现 中 间 人 攻击 ， 进 而 窜改 通信 数据 ， 因 此 本 方案 加 入 了 对 
居 的 验证 功能 ， 同 时 在 通信 过 程 中 不 暴露 密 钥 信息 ， 
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进一步 保证 了 数据 的 安全 性 。 
2.2 ”区 块 链 门限 签名 系统 详细 设计 


下 面 描 述 了 区 块 链 (4 门限 签名 的 详细 过 程 ， 为 了 方便 


论述 ， 定 义 了 以 下 符号 ， 如 表 1 所 示 。 


表 1 区 块 链 门限 签名 符号 表示 
Table 1 Symbols of the proposed Scheme 
符号 含义 符号 含义 
2 成 员 集 u, 节点 私 钥 
5 成 员 的 子 秘密 u, 节点 公 钥 
c, 组 私 钥 P。 满 足 Asumth-Bloom 方案 的 大 素数 
Cn 组 公 钥 Px 生成 组 公 钥 的 大 素数 
b; 秘密 份额 影 M 待 签 名 的 报 文 
ft 节点 i 产生 的 部 分 签名 上 合成 签名 
1) 初始 化 
设 区 块 链 中 节点 集 为 0={Q,Q@,…,9,}, 一共 nn 个 成 员 , 其 
中 门限 值 为 +。 选 择 两 个 大 素数 p。 和 p, ， 正 整数 序列 
d={di,dy,…d,} 以 及 有 限 域 2 上 的 生成 元 8 ， 其 中 p， 和 
d={d,d,…d,} 满足 Asumth-Bloom 方案 的 要 求 。 需 要 注意 的 
是 ， {mt,pssPi,d,8} 为 公 知 信 息 ， 各 个 节点 均 可 以 获知 到 该 内 
容 。 


节点 2 随机 生成 节点 私 钥 几 <sZu 


， 用 于 密 钥 分 享 的 成 员 


密 钥 * 和 对 应 的 4， 令 D=TId ， 


0<s, <[p,/n] 


其 满足 : 


0<A <[(D/p,-D)/n] 


节点 8 计算 得 到 6,'=g*， 


同时 得 到 节 


忆 =g* modp, ， 并 将 {8%,ci iu} 广播 给 
到 其 他 节点 发 送 的 消息 后 ， 计 算得 到 
cy Sl a ge mo' 

而 组 私 钥 为 


Cc, =-y% 
2) 秘密 分 害 


节点 2 发 送 给 节点 2 的 秘密 份额 性 


S;" 宇 注 +Ap, 
b,=S;'modd, 


性 将 会 被 广播 给 其 
不 被 恶意 窜改 ， 需 要 对 其 进行 验证 。 
和 Pb， 其 计算 公式 如 下 : 

a;= 8” mod px 
n= (S57 by) /ad 


组 公 钥 : 


d pr 


的 计算 公 


2 生成 的 校 验 信 ， 


房 =8 mod pr 

节点 2 将 信息 { 久 4 万 } 公布 给 其 
2 收 到 上 述 信息 ， 将 进行 校 验 ， 以 确 
验 公 式 为 


N 式 如 下 : 


点 公 铀 


其 他 节点 ， 在 节点 获取 


也 节点 ， 为 了 保证 信息 在 传递 过 程 中 
息 为 a 


他 节点 。 假 设 此 时 节点 
保 数 据 的 完整 性 ， 其 校 


(g™ mod pi )(p,” mod pi ) mod pi =a; 


如 果 验 证 通过 ， 说 明 消 息 在 传送 信道 中 并 没有 被 窜改 ， 
消息 内 容 可 信 ， 和 否则 区 块 链 节点 2 会 要 求 节 点 2 重 传 消息 。 


3) 生成 部 分 签名 
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当 节 点 8 检验 成 功 消息 后 , 首先 计算 Vi, 计算 公式 如 下 : 


V = 之 入 modd, 


于 b; 5; ‘modd, 故 可 得 到 : 


V =》 5 modai 。 


i=1 


计算 出 上 述 结果 后 ， 将 相关 信息 发 送 给 签名 合成 者 ， 每 
个 节点 可 计算 得 到 


W= Dby, modD, 


i 


下 式 计算 得 到 


Db =lmodd,,i=1,2,...,1 


i 


4 


然后 对 于 报 文 MY ， 计 算 其 对 应 的 部 分 签名 1: 


2 
u=g"” modp, 


ft 
=] [se modp, 


i=] 


¥ 

一 1 

= | | u, mod p 
i=] 


tf =u M +uW. 

得 到 部 分 签名 上 后， 将 {M,wt} 发 送 给 签名 合成 者 进行 签 
名 合成 。 

4) 签名 合成 

签名 合成 者 接收 到 份额 签名 {Mw} 后 , 进行 签名 合成 操 
作 。 需 要 注意 的 是 ， 在 区 块 链 场景 中 ， 每 个 节点 均 可 以 承担 
签名 合成 者 角色 。 

合成 签名 1 的 计算 公式 如 下 所 示 : 

b> modD jmodp, 


签名 合成 者 将 {M,u} 发送 给 签名 验证 者 进行 校 验 ， 进 行 
签名 验证 。 

5) 签名 验证 

签名 验证 者 得 到 签名 信息 {Ww,x9 后 ， 需 要 对 其 进行 验 
证 , 如 果 验 证 不 通过 , 则 意味 着 签名 信息 与 明文 信息 不 对 应 ， 
说 明 消息 已 经 被 窜改 。 需 要 说 明 的 是 ， 签 名 验证 者 可 以 是 区 
块 链 网 络 中 任 一 个 节点 。 验 证 公式 如 下 : 


1 Mu 
8 = cy modp. 


6) 成 员 加 入 
当 某 一 节点 8 要 加 入 到 区 块 链 网 络 时 ， 此 时 随机 生成 


节点 私 钥 w" eZ ， 用 于 密 钥 分 享 的 成 员 密 钥 %, 和 对 应 的 


tr 


A ， 并 计算 出 对 应 的 corr'=g”w 和 ww*=g* modp,， 将 


{co” 2oi 公布 给 其 他 节点 , 并 更 新 组 公 钥 c， 其 更 新 公式 如 
下 所 示 : 


Cc, = Je 党 Ee TIe ee 和 
从 上 可 知 ， 更 新 组 公 钥 只 需要 执行 一 次 乘法 运算 即 可 ， 
更 新 效率 较 高 。 
在 进行 签名 时 ， 从 步骤 2 秘密 分 割 开 始 执行 。 
7) 成 员 撤 销 
某 一 节点 2 离开 网 络 时 ， 区 块 链 中 其 他 节点 均 会 收 到 该 
节点 退出 的 消息 ， 此 时 其 他 节点 2 由 于 已 经 存储 了 节点 /的 
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公 钥 等 其 他 信息 ， 更 新 组 公 钥 6 的 等 式 如 下 : 


' ji 
Cp'=C, /cs 


从 上 可 知 ， 在 更 新 组 公 钥 时 ， 只 需 在 本 节点 执行 一 次 除 
法 操作 即 可 ， 无 须 再 与 其 他 节点 进行 交互 ， 节 省 了 网 络 带 宽 
资源 ， 同 时 提升 了 更 新 效率 。 
由 于 4d={4,4,…d,} 为 公 知 消息 , 节点 2 删除 和 45 的 内 
容 ， 在 发 起 签名 的 时 候 ， 只 需要 从 第 三 步 生成 部 分 签名 开始 
执行 。 


3 ”安全 性 分 析 
3.1 正确 性 证 明 
定理 1 节点 i 收 到 秘密 分 割 消息 后 ， 消 息 验 证 等 式 


[(g™ mod mp)02 mod pi)]mod pi =a 成 立 。 


证 明 由 于 p=g8”modp,， 故 : 


[(g™ mod pi )(B,” mod pi )] mod p, 
=[(g™ mod p.\((8” mod p.)” mod pi )] mod p. 


于 Pi 为 一 个 大 素数 ， 所 以 可 知 


[(g™ mod pi )((g” mod pe)” mod pi )| mod p, 
=[(g™ mod pi )(g”" mod pi )] mod p, 


=(g%g")mod p. 


btrid 


=(g” "’)mod p, 


于 hi = (5; ~—bj)/d; » 所 以 可 知 


[(g™ mod pi )(pPy” mod pi )] mod ps 


bjtrid 


=(g"") mod p, 


by+S;-b 


=(g ') mod mx o 
= g” mod p 


故 原 式 得 证 。 

定理 2 节点 收 到 其 他 1 个 节点 发 送 的 影子 份额 时 , 能够 
恢复 出 最 终 秘密 且 其 值 唯一 。 

证 明 由 于 5'=s+Ahp, ，5 为 各 个 节点 生成 的 子 秘密 ， 
5 可 视 为 合成 后 的 秘密 。 由 于 
不 妨 做 如 下 变换 : 


X=25,'=V modd,,i=1,2,..,1, 


求解 本 方案 的 合成 秘密 即 等 价 于 求解 上 述 同 余 式 组 。 

由 于 0<s<[ps /mj] ，0<Ah<[(D1p,--D/n]， 因此 可 以 得 到 : 
X = 六 9 D+Ap) -Ds +Ap,) 
<(ps /nxn+((D/p,—1)/n)xnp, 


V,= 75,'modd,,j=1,2,.n, 


i=l 


l 


= ps +D-p, 


求解 上 述 同 余 式 组 的 解 为 


(万 
X=> 一 履 只 modD 
i=1 Wi 


全 >? -V mod 5] mod D, 


1 
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上 其中， Dp todd [A ey 
: a 1 6 


于 X<D,， 故 上 述 同 余 方程 组 有 解 ， 且 二 值 唯 一 。 
定理 3 合成 签名 时 , 签名 验证 公式 8 =wc," mod Pp 成 立 


证 明 由 于 


不 
1 | modD Jmod 六 


i=l 
: 
__ 1 
u =[ Lu, mod p, ， 
i=] 


ti=uM +uW,, 


{= b> tf, mod 7] mod p, 
计 ] 
t 


> (wm tu)mod D jmod pa 


b 
= (mu w+ D> W. mod oj odp, 
i=1 i 计 ] 


Mou tu jmodp, 


=! 


又 因为 
c = 六 = Ap,) 
=D(5,) -Php,) 
=X -D(Ap,) 


所 以 可 知 X*=>(4p)+e,。 
又 因为 
(ov tu jmodp, 


所 以 可 得 


f 
‘= (Mu tu jmodp, 


i=1 


1 n 

三 忆 多 十 wp, D(A) tue, jmad ps 
=1 =] 

= (u>e 十 we, Jmod p, 


i 


t p23 
四 =[ [ 必 modp:=g8"™ modmP， 
i=] 


es 
且 c, =[[c sg” mod Pt ， 可 得 到 : 
i=l 


Wc, mod 及 
4 

=8g "8"” modp. 

a 


人 mod Pr 


二 


Fu, 
=8 ” modp. 


p, 与 pb 是 两 个 大 素数 ,可 认为 Mw tuc, 小 于 p, ,在 


re(0.p,) 时 ,可 以 得 到 1=W 六 w+uc , 故 : 
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训导 
uC, mod p. 


原 式 得 证 。 
3.2 ”安全 性 证 明 
3.2.1 门限 安全 性 分 析 

在 区 块 链 上 实现 (41) 门限 签名 方案 ， 对 于 7 个 节点 的 网 
络 ， 至 少 需要 i 个 节点 协作 才能 生成 最 终 签 名 。 对 于 一 个 设 
计 良 好 的 门限 签名 算法 ， 如 果 攻 击 者 攻破 了 其 中 一 定数 量 的 
节点 ， 此 时 只 要 发 起 签名 的 合法 节点 数量 大 于 等 于 +， 就 不 
会 影响 最 终 投票 结果 。 
对 于 7 个 参与 者 ， 在 进行 秘密 分 割 时 ， 区 块 链 网 络 中 各 


个 节点 对 子 秘密 进行 分 割 ， 组 公 钥 。_ o> mod p,， 而 组 私 


钥 为 = 。 6 被 公开 ， 即 使 第 三 方 窃取 到 该 消息 ， 求 解 


组 私 钥 问题 属于 求解 离散 对 数 问题 , 而 求解 该 问题 是 困难 的 。 
另外 由 于 各 个 节点 各 自 保 存 了 自己 的 子 秘密 信息 ， 在 通信 过 
旦 中 并 没有 直接 发 送 子 秘密 内 容 ， 除 非 全 体 成 员 协 同 作假 ， 
否则 无 法 直接 得 到 组 私 钥 信 息 。 

在 生成 部 分 签名 时 ， 此 时 节点 会 接收 到 消息 


{8%,b,a,By} ， 并 进行 校 验 ， 以 确定 消息 内 容 在 传输 过 程 中 没 


有 被 窜改 。 如 果 第 三 方 窃取 到 该 消息 内 容 ， 而 在 知道 a* ，4 
和 pb 内容 的 前 提 下 求解 4，5, 和 方 属于 离散 对 数 问题 ， 而 求 
解 该 问题 是 困难 的 。 由 于 s;=5, 一 4p,。 ， 故 也 不 能 根据 该 验证 
消息 求解 出 s;。 

校 验 通过 后 ， 需 要 至 少 1 个 节点 发 过 来 ， 然 后 进行 秘 
密 合 成 。 如 果 消 息 数量 多 于 +， 此 时 只 需 从 中 选择 出 1 组 进行 
合成 ， 反 之 ， 如 果 少 于 1 组 签名 ,根据 中 国 孙 子 定理 求解 该 
司 余 方程 组 无 法 得 到 其 解 。 

对 消息 进行 签名 ,生成 对 应 的 部 分 签名 信息 {M,wi} ,并 
发 送 给 签名 合成 者 ， 其 中 部 分 签名 的 生成 公式 为 


t; =u M +uW, 


占 


有 Yu 
=uM+We"™ modp, 


由 于 ,> iwoqp.， 根 据 * 求 解 节点 私 钥 w 属于 离散 对 


数 问 题 ， 同 时 也 无 法 根据 ;的 数值 来 获取 到 w 的 数值 。 
在 对 部 分 签名 进行 合成 时 ， 其 合成 公式 为 


by, modD jmodp, ， 并 将 {Mud 发 送 给 签名 验证 者 进行 验 
[| 


证 ， 验 证 公式 为 8' =wwer mod p, 。 


由 于 在 实际 传输 过 程 中 ， 


{M,u,} 没有 包含 私 钥 内 容 ， 即 使 第 三 方 窃取 该 内 容 ， 也 无 法 
获取 任何 有 意义 的 信息 。 
3.2.2 不 可 冒充 性 分 析 
不 可 冒充 性 是 指 区 块 链 中 的 节点 都 不 能 冒充 其 他 成 员 来 
生成 签名 信息 ， 更 高 级 的 不 可 冒充 性 还 包括 了 签名 信息 可 追 
调 性 。 本 方案 在 应 用 到 区 块 链 应 用 场景 中 时 ， 由 于 剔除 了 可 
信 中 心 ， 各 节点 地 位 相同 ， 通 过 协作 生成 最 终 签 名 ， 因 此 可 
以 避免 传统 的 基于 可 信 中 心 签名 方案 出 现 的 可 信 中 心 冒充 欺 
骗 的 问题 。 后 文 在 分 析 不 可 冒充 性 的 时 候 ， 设 定 任 一 区 块 链 
节点 均 可 以 冒充 其 他 节点 身份 对 发 送 的 消息 M 进行 签名 。 为 
了 方便 论述 ， 这 里 将 恶意 节点 定义 为 节点 i ， 被 冒充 的 当前 
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节点 定义 为 i。 


基于 中 国 剩余 


定理 的 区 块 链 投 票 场景 签名 方案 


天 此 a = a， 


如 果 成 员 /冒充 成 员 i， 并 生成 自己 的 密 铀 5， 根 据 前 本 
所 述 ， 根 据 公开 的 信息 是 无 法 计算 出 成 员 ; 的 私 钥 信 息 。 当 
随机 生成 y， 且 %*s 时 ， 由 于 组 私 钥 为 < -2s ， 区 块 链 各 

节点 均 会 在 本 地 保存 一 份 组 私 钥 信 息 ， 如果 *s， 则 必然 
A 5 点 7 无 法 加 入 到 签名 生 
成 流程 ， 因 此 成 员 /不 能 通过 生成 其 对 应 的 密 钥 信 息 s; 冒充 
成 员 i。 

如 果 成 员 j 冒充 成 员 ; 时 ， 生 成 节点 私 钥 必 'z 必 。 由 于 节 
点 公 钥 必 '=g' modm ， 为 了 正常 生成 签名 , 必须 保证 必 '= 必 ， 


而 根据 "计算 出 w' 属于 求解 离散 对 数 问题 ， 这 是 困难 的 ， 


为 此 成 员 j 不 能 通过 生成 其 对 应 的 节点 私 钥 w' 冒充 成 员 i。 
如 果 成 员 7 冒充 成 员 ; 并 生成 4*4 时 ， 由 于 
((e” mod 有 )(00 7 mod po) jmod Px 
= a 
= g* mod p. 
= (gs+4m)mod pe. 
= 8"g8"" mod 及 
= 8"(g*)" mod pe 
可 以 得 到 
p=g" (8%)" mod 庆 =8 mod p. 
另外 由 于 p 为 整数 ，s 为 素数 ， 可 以 得 到 
di sb +Ap, 
Y ， | 加 斑 口 得 
而 于 局 ， mod p, ， 同 理 可 和 


djls, -b+h Pa 


于 5 不 可 伪造 ，s=s;， 所 以 可 以 得 到 


di|si—b;+Ap,—1*(s, 一 
=d; | 性 -b; +(A;—A)p, 


by +hp,) 


进而 得 到 
(4 -A)p, =(b, -Db,) modd, 


为 了 求解 4 的 数值 , 则 需要 求解 (4 -4) ,又 因为 p44 互 
素 ， 所 以 可 以 得 到 


(pasd)) | (b; 一 已) 
=1|(b, —b;) 


为 了 保证 


则 (4-4)p,=(5; -5b)modd, 有 解 。 节点 7 在 生成 部 分 


签名 后 能 够 正常 合成 最 终 签 名 ， 


保证 方程 组 有 解 ， 
生成 4 来 冒充 成 员 i。 


如 果 成 员工 冒充 成 员 


必须 使 =&b;， 故 此 时 为 了 
与 题 设 矛 盾 ， 故 成 员 j 无 法 


生成 axa 时， 于 


wmod 庆 ， 而 且 * 与 4 无 法 冒充 ， 所 以 =， 


a =g" 4=4， 


如 果 成 员 j 冒充 成 员 i 并 生成 6,*B 时 , 由 于 成 员 /无 法 
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成 员 7 无 法 生成 «来 冒充 成 员 i。 


冒充 成 员 并 生成 其 


S 


S$," 


对 应 的 @，s5s，w' 


,0 $5 = 以 及 4=4， 


以 及 4 ， 意 味 着 此 时 


此 时 可 知 


=3 +Ap,=s+Ap,=5, 


b 二 5, ‘modd, =S moddi =b,; 


pb = 8” mod p. -8 


gS 


= 万 
所 以 成 员 无 法 生成 
综 上 所 述 ， 


(5,'-b, Yd) 


mod 有 


-by)/d; 


mod 及 


B, 来 冒充 成 员 i。 


本 文 提 出 的 区 块 链 Gn) 门限 签名 方案 ， 区 块 


链 中 节点 均 不 能 冒充 


的 安全 性 。 
4 ”性 能 分 析 
4.1 效率 分 析 


其 他 成 员 来 生成 签名 信息 ， 保 障 了 方案 


本 文 提出 的 区 块 链 (1 门限 签名 算法 难度 等 价 于 求解 离 


散 对 数 问题 ， 为 了 与 当前 已 


的 签名 算法 进行 性 能 对 比 ， 本 


文 定义 了 以 下 的 符号 ， 


如 表 2 所 示 。 


表 2 新 方案 复杂 度 符号 表示 
Table 2 Symbols of computational complexity for the proposed 
scheme 
符号 说 明 
Cn 模 乘 计算 复杂 度 
C, 模 窜 计算 复杂 度 
GC 模 求 逆 计 算 复 杂 度 
(en 丛 希 计算 复杂 度 
需要 说 明 的 是 由 于 模 加 法 和 模 减 法 计算 开销 较 低 ， 这 里 


不 对 其 进行 考察 。 


模 寡 运算 本 质 上 是 一 种 模 乘 运算 ， 模 寡 运 


算 可 以 通过 蒙哥马利 早 模 运算 进行 简化 ， 后 
行 性 能 评估 时 ， 模 宽 运 算 单独 论述 。 


本 部 分 将 会 分 别 
方面 进行 效率 分 析 ， 


分 签名 和 签名 合成 两 个 步骤 。 


计算 任务 ， 个 只 统计 一 
杂 度 如 表 3 所 示 。 


面 在 对 本 方案 进 


从 秘密 分 割 、 签 名 生成 和 签名 验证 三 个 
其 中 签名 生成 包括 了 前 文 论述 的 生成 部 
男 外 在 计算 复杂 度 时 ， 对 同一 
次 。 区 块 链 (1,n) 门限 签名 算法 的 计算 复 


表 3 新 方案 的 计算 复杂 度 


Table 3 Computational complexity of the proposed scheme 


步 又 计算 复杂 度 

秘密 分 割 (4mC, +i1C,, 

签名 生成 QDC, 二 IC 

签名 验证 2C, 十 Cn 
为 了 与 现 有 的 门限 签名 方法 进行 对 比 ， 后 面 将 从 签名 生 
成 和 签名 验证 两 个 角度 对 算法 进行 考察 。 由 于 现 有 的 方法 种 
类 复杂 ， 主 要 包括 了 基于 拉 格 朗 日 插值 法 和 基于 中 国 孙子 定 
理 的 方法 ， 所 以 本 文 重点 对 基于 上 述 两 种 秘密 共享 的 门限 签 


名 算法 进行 性 能 比较 。 表 4 是 本 文 区 块 链 (1,n) 门限 签名 算法 
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与 现 有 算法 的 计算 复杂 度 对 比 结果 。 其 中 
基于 中 国 孙子 定理 ， 而 文献 [23，24] 贝 


算法 ， 文 献 [25] 是 基于 零 知识 证 明 。 


表 4 算 法 计算 复杂 度 对 比 


王 利 朋 ， 


等 : 基于 中 国 剩余 定理 的 区 块 链 投票 场景 


P 本文 与 文献 [22] 是 
I 是 基于 拉 格 朗 


日 插值 


Table 4 Comparison of computational complexity 


方案 名 称 


签名 和 


成 效率 


签名 验证 


效率 


本 文 算法 


文献 中 


六 
文献 中 
文 


Vy 献 P3 


献 C 


(21)C， 十 1C， 


(3DC, +IC， +1C, 
(8t + DC,+(2t+2)C, 
QDC, +(t+D)C, +tC, +C; 
(SDC, +(4t+D)C, +iC, 


2C, +C, 
C,+C, 
2C， 
CG, 

3C, +2C, +C 


份 


从 表 4 可 知 ， 对 于 签名 生成 和 签名 验证 ， 
优 于 文献 [25]， 后 者 秘密 份额 包括 了 用 户 身 份 信息 ， 
权 管 理 和 检测 参与 者 是 否 存 在 


a 
已 息 


集 为 了 进行 权限 
复杂 度 较 高 。 


一 般 来 讲 ， 


= 
BJ]o 


在 区 块 链 执行 效率 价值 更 大 。 
证 部 分 要 逊 于 文献 [23]， 但 由 
到 区 块 链 应 用 场景 
区 块 链 作 为 一 种 去 中 心 
任务 均匀 分 布 到 各 个 节 


丛 希 函数 计算 复杂 度 
姑 此 在 签名 生成 部 分 ， 文 献 [24]E 
作为 一 种 异 构 网 络 ， 计 算 资 源 有 限 ， 对 算法 执行 效率 要 求 较 


次 骗 行 为 ， 


额外 引入 了 哈 希 函 数 来 盲 化 身份 
管理 ， 也 引入 了 额外 的 


明 作 


而 为 了 保护 ) 


份 信息 。 


本 文 算法 均 要 
用 于 授 
户 身 
同时 授权 子 
， 故 导致 其 计算 


役 要 高 于 取 模 运算 ， 


由 于 门限 签名 算法 
是 签名 验 详 


FE 部分， 因此 提升 签名 和 


本 文 算法 效率 低 。 


算 量 主要 集中 在 签名 生成 部 分 ， 而 


区 块 链 


证 点 中 。 于 


EE 成 部 分 效率 对 提升 算法 
2 
于 签名 生成 效率 较 高 ， 在 


适 配 


中 时 ， 系 统 吞吐 率 仍 要 优 于 后 者 。 
化 的 分 布 式 网 络 ， 
区 块 链 各 个 节点 的 计算 能 


签名 算法 计算 


ChinaXiv 合 作 期 刊 


签名 方案 第 37 卷 第 2 期 
530 
45 
40 一 9 一 文献 [23] 方 案 
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图 2 耗 时 与 门限 值 t 关 系 图 
Fig.2 Relationship of time consuming over the threshold t 
45 ] 
40 :| a 
3 一 9 一 文献 [23] 方 案 
和 0 一 本 -本 文 方案 
时 25 
m 20 
S 15 
”10 1 
5 了 
0 T T 
40 45 50 55 60 65 70 75 80 
成 员 数 n 


图 3 耗 时 与 成 员 数 n 关系 区 


Fig.3 Relationship of time consuming over the member number n 


从 图 2 可 知 ， 


随 门 限 值 : 的 增加 ， 本 方案 与 文献 [23] 的 耗 


时 均 会 增加 ， 这 是 


于 签名 生成 时 的 计算 复杂 度 与 门限 值 ; 


正 相 关 。 从 实验 数据 可 知 ， 文 献 [23] 相 对 于 本 方案 ， 耗 时 较 


力 参 差 不 齐 ， 单 独 增加 区 块 链 网 络 某 些 节点 的 计算 资源 ， 多 ， 且 随 门限 值 : 的 增加 ， 耗 时 增加 速度 变 快 。 门 限 值 : 较 小 
不 能 有 效 地 提升 签名 算法 执行 效率 。 其 中 影响 签名 算法 执行 时， 两 种 方案 的 耗 时 相近 ， 这 是 由 于 签名 生成 时 两 者 的 计算 
效率 的 关键 要 素 是 通信 资源 消耗 量 ， 减 少 通信 次 数 可 以 缩短 。 复杂 度 ， 在 门限 值 较 小 时 其 数值 接近 。 
签名 算法 的 执行 时 间 。 尽 管 文献 [22] 在 签名 生成 和 签名 验证 从 图 3 可 知 ， 随 成 员 数 的 增加 ， 本 方案 的 耗 时 基本 上 
两 个 方面 均 要 优 于 本 文 算法 ， 但 是 文献 22] 在 产生 签名 时 ， 保持 平稳 , 且 均 小 于 文献 pal。 综合 图 2 和 3 可 以 进一步 发 现 ， 
生成 部 分 签名 需要 生成 自己 的 临时 公 钥 信息 ， 并 进行 广播 ， 本 文 算法 在 门限 值 + 和 成 员 数 发 生变 化 时 ， 耗 时 波动 相 比 
其 他 节点 收 到 个 节点 相关 消息 后 才能 合成 最 终 签名 ， 而 本 ” 较 小 ， 性 能 基本 保持 平稳 。 对 于 区 块 链 这 种 异 构 网 络 ， 节 点 
文 算法 没有 相关 步骤 ， 减 少 了 一 次 通信 过 程 ， 不 仅 节省 了 计 数量 变化 频繁 , 而 本 文 算法 的 性 能 并 不 会 随 之 发 生 较 大 波动 ， 
算 资源 ， 同 时 提升 了 合成 签名 的 效率 ， 有 效 地 增加 任务 吞吐 有 更 好 的 鲁 棒 性 ， 能 够 更 好 地 适 配 到 区 块 链 投票 协议 中 。 
率 。 ee 

文献 [23~25] 均 未 提供 成 员 加 入 和 撤销 签名 功能 ， 而 文献 5 结束语 
[22] 没 有 提供 撤销 签名 功能 。 由 于 区 块 链 作为 一 种 复杂 网 络 ， 区 块 链 中 应 用 环 签名 算法 实现 投票 功能 时 ， 会 面临 节点 
节点 状态 随机 性 较 大 ， 断 电 和 故障 均 会 导致 节点 不 可 用 ， 因 不 可 信和 以 及 效率 低下 的 问题 ， 本 文 基于 中 国 孙子 定理 提出 
此 要 求 签名 算法 均 要 支持 签名 撤销 和 成 员 加 入 功能 ， 且 其 效 ”一 种 区 块 链 上 的 门限 签名 方案 ， 攻 击 难度 等 价 于 求解 离散 对 
举 要 疝 。 本 文 签名 算法 针对 区 块 链 应 用 场景 进行 了 功能 和 性 。” 数 问题 
能 上 优化 ， 相 比 其 他 算法 ， 能 够 更 为 有 效 地 适 配 到 区 块 链 应 区 块 链 具 有 去 中 心 化 、 通 信 信 道 异 构 化 的 特征 ， 在 适 配 
用 场景 中 、 到 区 块 链 网 络 时 ， 本 方案 的 签名 方法 支持 节点 加 入 和 退出 ， 
4.2 仿真 实验 签名 过 程 无 须 中 心 节 点 参与 ， 提 升 了 方案 的 可 用 性 。 由 于 区 

仿真 实验 采用 的 操作 系统 为 Windows 7，Itel CPU 块 链 是 基于 不 安全 的 通信 信道 进行 构建 ， 为 了 抵御 可 能 出 现 
i7-6700, Microsoft VC++ 6.0。 将 本 文 方案 与 文献 [23] 方 案 的 的 中 间 人 攻击 ， 本 方案 加 入 了 对 通信 数据 的 验证 功能 ， 同 时 
执行 效率 进行 对 比 ， 统 计 签名 生成 和 签名 验证 两 个 步 又 的 耗 ” 本 方案 在 通信 过 程 中 不 暴露 密 钥 信息 ， 保 证 了 数据 安全 性 。 
时 总 和 ， 时 间 单 位 为 ms。 p, 和 pi 均 为 150 位 整数 ， 仿 真实 交 全 性 分 析 表 明 ， 本 文 所 提出 的 门限 签名 方案 能 够 有 效 抵抗 
验 将 分 别 考察 耗 时 与 门限 值 + 和 成 员 数 7 之 间 的 关系 ,详细 ”冒名 攻击 ， 克 服 了 原生 区 块 链 系统 的 安全 缺陷 。 针 对 区 块 链 
的 实验 配置 参数 如 下 : 应 用 场景 ， 本 文 算法 优化 了 通信 效率 ， 节 省 了 计算 资源 ， 提 

实验 1 成 员 数 n=50, 门 限 值 1 分 别 取 值 为 10、15、20、 升 了 系统 吞吐 率 。 性 能 分 析 表 明 , 与 现 有 门限 签名 算法 相 比 ， 
25、30、35、40， 考 察 耗 时 与 门限 值 ! 之 间 的 关系 。 本 方案 在 签名 生成 和 签名 验证 两 个 方面 ， 计 算 复 杂 度 较 低 ， 

实验 2 门限 值 :=30, 成 员 数 4 分 别 取 值 为 40、45、50、 有 旦 具有 较 好 的 鲁 棒 性 。 


3% 


60、65、70、75、80， 考 察 耗 时 与 成 员 数 7 之 间 的 关系 。 


仿真 实验 结果 如 


区 


2 和 3 所 示 。 
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